JANUSEC应用网关上启用LDAP双因子认证

U2      2020-05-23 17:03      41     

在“使用JANUSEC应用网关给内部网站添加身份认证”一文中,介绍了在JANUSEC网关启用移动办公APP(企业微信、钉钉、飞书)扫码身份认证的方法。其实,JANUSEC应用网关还支持LDAP身份认证,并且可以启用双因子认证。

1.双因子激活体验

开启LDAP双因子身份认证之后,新员工访问内部业务的体验是什么样的呢?

首先,应用网关会引导员工到登录界面:

JANUSEC应用网关的LDAP登录界面

首次访问时,直接使用LDAP认证,认证通过后,跳转到认证码登记激活界面:

JANUSEC应用网关的双因子认证码注册激活

这时,可使用手机APP(Google Authenticator或者Microsoft Authenticator )扫描上图的二维码(这个过程,其实就是手机APP跟网关共享密钥的过程,以便让手机APP生成正确的认证码)。

Authenticator显示的动态认证码

在认证码激活界面,输入上图中的6位数字,即激活了该账户的双因子认证。

然后在登录界面,就需要同时输入口令和正确的认证码了。

2.LDAP双因子身份认证配置方法

在JANUSEC应用网关的配置文件/usr/local/janusec/config.json中,可以看到LDAP的配置:

{
    "node_role": "master",    
	"master_node": {
        ...
        "oauth": {
            "enabled": true,
            "provider": "ldap",
            ...
            "ldap": {
                "display_name": "Login with LDAP",
                "entrance": "https://gate.janusec.com/ldap/login",
                "address": "ldap.janusec.com:389",
                "dn":"uid={uid},ou=People,dc=janusec,dc=com",
                "using_tls": false,
                "authenticator_enabled": true
            }
        }
	},
	"slave_node": {
		...
	}
}

其中:

// 显示在登录界面
的文字
"display_name": "Login with LDAP",

// 修改entrance,使用您的网关域名替换
"entrance": "https://网关域名/ldap/login",

// LDAP服务器地址,格式为 域名:端口  
"address": "LDAP服务器域名:389",

// {uid} 保持不变,其他根据实际修改
"dn":"uid={uid},ou=People,dc=XXX,dc=com",

// 是否启用加密传输
"using_tls":false,

// 是否启用Authenticator认证码双因子认证
// 需要安装手机APP(Google Authenticator或Microsoft Authenticator)
"authenticator_enabled": false

当authenticator_enabled为true时,会启用认证码机制。

 

 

本文地址: https://www.janusec.com/articles/opensource/1590224628.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.